NUVOLA:新的云安全工具
Nuvola是意大利网络安全研究人员爱德华多Rosa ( @ _ notdodo _ ),Prima Assicurazioni的安全工程师制作的新安全工具。该工具在罗马举行的RomHack 2022安全会议上发布。该工具帮助安全社区解决云环境(如AWS )上权限提升的复杂问题。
权限提升是不良行为者进入你的敏感系统的一种常见做法。他们可能从一个低级别的帐户开始,但是他们利用权限和路径来使自己达到一个可怕的特权级别,在那里他们可以造成不可弥补的损害,并持久地锁定帐户。
福里斯特估计80 %的安全漏洞涉及特权凭据。许多组织抱着这样的热情采用了云环境,以至于未能涵盖安全方面的基本要素,给不良行为者留下了许多漏洞。
相比其他形式的攻击,权限提升可能会被忽视,特别是在复杂的云环境中,公司已经很难了解其内部用户、身份和行为。一个攻击者可能会在你的系统内待几天时间,如果时间不长,你甚至可能不知道。他们甚至可以暴露敏感数据,而在50 %的情况下,你可能完全不知道违约行为,直到第三方通知你。
当谈到AWS安全性时,身份和访问管理( Identity and Access Management,IAM )权限配置错误一直是人们关注的焦点,但这并不意味着它们更容易避免。在现实中,防止特权升级始于使其尽可能难以应用最低特权原则。
尽管如此,随着常见的配置问题和其他漏洞在AWS体系结构中变得司空见惯,通过了解最常见的AWS权限提升来了解不良行为者如何利用我们的环境是很重要的。
云安全情境
云是一个不断发展的空间,新的服务、策略和技术似乎在一夜之间涌现出来。正因如此,组织定期改变和调整其对云和云安全的处理方式。
云安全联盟(技术和云安全成熟度, 2022)的一份报告指出,84 %的组织报告没有自动化;由于身份和访问管理是保护公司安全的关键因素,因此自动化检测可能的攻击路径可以减少攻击面并避免潜在的数据泄露。
在技术层面之外,云安全联盟(云安全风险、合规性和错误配置现状, 2022)的另一份简编指出,缺乏知识和专业知识是信息安全行业内众所周知的问题。
因此,毫不奇怪,知识和专门知识的缺乏一直被确定为:
· 一般云安全的主要障碍( 59 % )
· 是配置错误的主要原因( 62 % )
· 主动预防或修复配置错误的主要障碍( 59 % )
· 是实施自动修复的主要障碍( 56 % )
此外,从同一报告中,各组织指出,由于配置不当而发生安全事件的主要原因是缺乏可见度( 68 % )。
全局概览对于攻击者和防御者都至关重要,因为它允许安全分析师和攻击者立即找到攻击路径来补救或滥用系统。
高层对环境的充分理解使企业能够确定优先事项并满足安全要求。
虽然IAM安全非常重要,但攻击者也可能滥用环境中的错误配置,如暴露的资源( Alteryx , Twilio)或服务;云安全态势管理( Cloud Security Posture Management,CSPM )可以帮助公司保护其资产定义标准控件( CIS、PCI、NIST、SOC2)和自定义规则集,以避免误报或增加安全问题的检测。
虽然一些支持AWS的工具非常有用,并且得到了很大的发展,但其中许多工具缺乏全局概览的特性,其结果必须在其他工具或自定义脚本中进行手动审查、汇总和消化。
加入 nuvola
nuvola 是一个工具,可以使用使用图形和简单的Yaml语法创建的预定义、可扩展和自定义规则,对AWS环境配置和服务进行自动和手动安全性分析。
这个项目背后的总体思想是创建一个抽象的云平台数字孪生模型。对于更具体的例子:nuvola反映了用于Active Directory分析但在云环境中的警犬特性。
图形数据库的使用也增加了发现不同和创新的攻击路径的可能性,可以作为离线、集中和轻量级的数字孪生体使用。
与警犬一样,nuvola利用图论(在Neo4j图形数据库中实现)的优势和原理来发现和揭示云生态系统中对象之间的关系,从而使工程师能够进行分析。
因为Prima Assicurazioni相信开放源代码,所以它是用社区的思维方式创建的工具,不需要定制或特定的约束来帮助我们和其他公司保护AWS生态系统。该工具还支持使用YAML文件创建检测规则,以帮助专家和非专家为项目做出贡献。
例如,使用nuvola,我们可以定义一个Yaml文件来查找元数据端点未升级到v2的所有EC2实例。该语法比Neo4j的查询引擎Cypher提供的语法更简单,甚至可以让非硬核分析师进行评估。
使用图形的主要优点是我们能够找到路径:从A到B。
我们可以找到使用Yaml文件查询从所有用户或角色到目标的所有路径的易受攻击路径;在这种情况下,策略被称为AdministratorAccess;滥用PassRole和CreateStack操作。
上图中显示的输出表明cloudformation-星箭分离机构角色可以到达策略AdministratorAccess;以及temp – backend – api – role – runner角色。
nuvola源代码可在GitHub上获得。有关内部工作和工具使用的进一步技术细节,请查看项目wiki和RomHack 2022幻灯片平台。